blog

  • 26
    01

    FireCrypt: Ransomware ตัวใหม่ มาพร้อมกับโมดูล DDoS

    MalwareHunterTeam ออกมาเปิดถึง Ransomware ตัวใหม่ ชื่อว่า FireCrypt ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลของเหยื่อแล้ว ยังพยายามโจมตีแบบ DDoS ไปยังเป้าหมาย URL ที่ได้ Hardcode ไว้ในซอร์สโค้ดอีกด้วย

    จากการตรวจสอบโดย Bleeping Computer พบว่า FireCrypt Ransomware ถูกออกแบบโดยแฮ็คเกอร์ที่มีประสบการณ์ในการเขียนมัลแวร์ โดยใส่คุณสมบัติ Polymorphic ส่งผลให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับ Ransomware ได้ยากขึ้น FireCrypt แพร่กระจายตัวผ่านทางไฟล์ EXE เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว FireCrypt จะปิดการทำงาน Task Manager (taskmgr.exe) และเริ่มเข้ารหัสไฟล์รวม 20 ประเภท เช่น ไฟล์เอกสาร รูปภาพ และเพลง โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES จากนั้นต่อท้ายไฟล์ด้วยนามสกุล “.firecrypt”

    หลังจากเข้ารหัสเสร็จเรียบร้อย FireCrypt จะแสดงหน้าจอเรียกค่าไถ่ดังรูปด้านล่าง จากการตรวจสอบพบว่า ข้อความเรียกค่าไถ่ดังกล่าวเหมือนกับ Ransomware ที่ชื่อว่า “Deadly for a Good Purpose” ที่ค้นพบเมื่อเดือนตุลาคม 2016 ต่างกันตรงแค่ FireCrypt ไม่มีโลโก้ด้านบน อย่างไรก็ตาม เมื่อดูซอร์สโค้ดภายใน พบว่า Ransomware ทั้งสองใช้อีเมลและชื่อบัญชี Bitcoin เดียวกัน จึงเป็นไปได้สูงมากว่า Deadly for a Good Purpose ถูกปรับปรุงและเปลี่ยนชื่อใหม่เป็น FireCrypt

    นอกจากเข้ารหัสไฟล์ข้อมูลแล้ว ซอร์สโค้ดของ FireCrypt ยังประกอบด้วยฟังก์ชันที่จะคอยเชื่อมต่อกับ URL ของสำนักงานโทรคมนาคมแห่งชาติปากีสถาน (http://www.pta.gov.pk/index.php) ตลอดเวลา เพื่อทำการดาวน์โหลด Content และบันทึกลงบนฮาร์ดดิสก์ภายในโฟลเดอร์ %Temp% โดยตั้งชื่อว่า [RANDOM_CHARS]-{CONNECT_NUMBER].html ส่งผลให้โฟลเดอร์ %Temp% ของเหยื่อจะมีไฟล์ขยะโผล่ขึ้นมาเป็นจำนวนมาก

    แฮ็คเกอร์ผู้พัฒนา FireCrypt เรียกฟีเจอร์นี้ว่า “DDoSer” แต่อาจจำเป็นต้องแพร่มัลแวร์ไปยังคอมพิวเตอร์หลายพันเครื่องแล้วสั่งโจมตีพร้อมกันถึงจะรุนแรงพอที่จะทำให้เว็บไซต์ของสำนักโทรคมนาคมหยุดชะงักการให้บริการได้

    จนถึงตอนนี้ยังไม่มีโปรแกรม Decrypter สำหรับถอดรหัสข้อมูลของ FireCrypt แต่อย่างใด

    ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/

  • 26
    01

    เตือน KillDisk Ransomware หลอกเรียกค่าไถ่เกือบ 8,000,000 บาท แต่ไม่ปลดรหัสไฟล์ให้

    FBI เคยให้คำแนะนำว่า เหยื่อควรจ่ายค่าไถ่ถ้าต้องการได้ไฟล์กลับคืนมา ถ้าไม่ได้สำรองข้อมูลไว้ … อย่างไรก็ตาม ไม่ได้สิ่งใดการันตีว่าถ้าจ่ายค่าไถ่ไปแล้ว แฮ็คเกอร์จะปลดรหัสไฟล์ให้จริง สิ่งยืนยันมีเพียงความเชื่อใจระหว่างเหยื่อกับแฮ็คเกอร์เท่านั้น … ซึ่งใช้ไม่ได้ผลกับ KillDisk Ranswomare

    KillDisk เดิมทีเป็นมัลแวร์สำหรับล้างข้อมูลบนอุปกรณ์คอมพิวเตอร์ ซึ่งก่อนหน้านี้เคยถูกใช้เพื่อก่อวินาศกรรมบริษัทหลายแห่งโดยการสุ่มลบไฟล์ออกจากเครื่องเซิร์ฟเวอร์ นอกจากนี้ KillDisk ยังมีความเชื่อมโยงกับมัลแวร์ Black Enerfy ที่เข้าโจมตีโรงไฟฟ้าในประเทศยูเครนเมื่อช่วงปี 2015 มาแล้ว ส่งผลให้ประชาชนหลายพันคนไม่มีไฟฟ้าใช้งานช่วงระยะเวลาหนึ่ง

    อย่างไรก็ตาม นักวิจัยด้านความมั่นคงปลอดภัยจาก ESET ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง ได้ออกมาแจ้งเตือนว่า KillDisk ได้กลับมาแพร่กระจายตัวอีกครั้งแล้ว แต่เป็นสายพันธุ์ใหม่ที่รวมคุณสมบัติของ Crypto-ransomware เข้ามาด้วย คือมีทั้งการลบไฟล์แบบสุ่มและเข้ารหัสไฟล์ข้อมูล โดยพุ่งเป้าที่คอมพิวเตอร์และเซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการ Windows และ Linux

    ที่น่าตกใจคือ KillDisk เรียกค่าไถ่สูงถึง 222 Bitcoins หรือประมาณ 8,000,000 บาท ซึ่งเรียกได้ว่าเป็นค่าไถ่ที่สูงที่สุดในโลกตอนนี้ และถ้าเหยื่อไม่จ่ายค่าไถ่ KillDisk จะทำการลบไฟล์บนอุปกรณ์ไปเรื่อยๆ จนหมด

    ที่แย่กว่านั้นคือ KillDisk Ransomware บน Linux ไม่มีการเก็บข้อมูลกุญแจเข้ารหัสไปบนเครื่องของเหยื่อหรือ C&C Server แต่อย่างใด นั่นหมายความว่า ต่อให้เหยื่อจ่ายค่าไถ่จำนวนมหาศาลขนาดนั้นไปแล้ว เหยื่อก็จะไม่ได้รับกุญแจสำหรับปลดรหัสไฟล์ข้อมูลแต่อย่างใด

    ข่าวดีคือ ESET พบช่องโหว่ของกระบวนเข้ารหัสของ KillDisk บน Linux ซึ่งช่วยให้สามารถถอดรหัสไฟล์ข้อมูลกลับคืนมาได้ แต่ก็ทำได้ยากมาก และช่องโหว่นี้ไม่ได้ปรากฏบน KillDisk บน Windows แต่อย่างใด อย่างไรก็ตาม แนะนำให้ผู้ใช้ทุกคนสำรองข้อมูลเป็นประจำเพื่อหลีกเลี่ยงปัญหาดังกล่าว

    ที่มา: http://thehackernews.com/2017/01/linux-ransomware-malware.html

  • 06
    10

    เตรียมระวัง ATM skimming รูปแบบใหม่ ขโมยลายนิ้วมือ

    เทคนิค ATM skimming แบบเดิมนั้นจะเป็นการใช้อุปกรณ์ไปติดตั้งครอบทับเครื่องอ่านบัตรเพื่อทำสำเนาข้อมูลแถบแม่เหล็กมาสร้างเป็นบัตรใหม่ จากนั้นติดตั้งกล้องไว้บันทึกวิดีโอตอนผู้ใช้กดรหัสบัตรหรือติดตั้งแผงคีย์บอร์ดปลอมทับของเดิมเพื่อบันทึกการกดปุ่ม ปัจจุบันธนาคารเริ่มเปลี่ยนมาใช้บัตรแบบ EMV หรือ Chip-and-PIN ซึ่งทำให้การโจมตีลักษณะนี้ทำได้ยากขึ้นแล้ว

    อย่างไรก็ตาม ปัจจุบันธนาคารหลายแห่งได้พยายามพัฒนาวิธีการยืนยันตัวตนรูปแบบใหม่เพื่อนำมาใช้แทนการอ่านบัตรแบบเดิม โดยจะใช้ข้อมูลการตรวจพิสูจน์บุคคล (biometrics) เช่น ลายนิ้วมือ เสียง หรือสแกนม่านตา เพื่อใช้ในการยืนยันการทำธุรกรรมทางการเงิน

    เมื่อปลายเดือนกันยายน 2559 บริษัท Kaspersky ได้รายงานการค้นพบการวางจำหน่ายอุปกรณ์ขโมยลายนิ้วมือ สำหรับนำไปใช้ติดตั้งเป็นเครื่อง skimmer ในตู้ ATM ที่รองรับการยืนยันตัวตนด้วยลายนิ้วมือ โดยพบว่าในแหล่งซื้อขายใต้ดินมีผู้จำหน่ายอุปกรณ์ประเภทนี้ถึง 12 เจ้า อย่างไรก็ตาม ตัวอุปกรณ์ที่ประกาศขายนั้นยังเป็นเครื่องต้นแบบอยู่ ใช้การส่งข้อมูลผ่านเครือข่าย GSM ซึ่งมีปัญหาคือยังส่งข้อมูลได้ปริมาณน้อย แต่คาดว่าเวอร์ชันถัดไปอาจทำได้ดีกว่านี้

    ปัญหาการขโมยข้อมูลเอกลักษณ์บุคคลเพื่อใช้ในการสวมรอยทำธุรกรรมทางการเงินนั้นมีแนวโน้มที่จะเพิ่มสูงขึ้นตามเทคโนโลยีการยืนยันตัวตนที่เปลี่ยนแปลงไป ทางธนาคารและผู้ใช้บริการควรต้องติดตามข่าวสารอย่างสม่ำเสมอ

    เครดิต : เนื้อหาและภาพจาก https://www.thaicert.or.th/newsbite/2016-10-03-02.html#2016-10-03-02

  • 22
    09

    HDDCRYPTOR RANSOMWARE รูปแบบใหม่เข้ารหัสฮาร์ดดิสก์ทั้งลูก

    Renato Marinho นักวิจัยด้านความมั่นคงปลอดภัยจาก Morphus Labs ออกมาเปิดเผยถึง Ransomware ตัวใหม่ ชื่อว่า HDDCryptor หรือ Mamba ซึ่งมีจุดเด่นคือการเข้ารหัสฮาร์ดดิสก์ทั้งลูกแทนที่จะเข้ารหัสไฟล์ข้อมูลทีละไฟล์เหมือน Ransomware ปกติ

    HDDCryptor ถูกค้นพบเมื่อต้นเดือนที่ผ่านมา ในหน่วยงานด้านพลังงานที่ประเทศบราซิล และสำนักงานสาขาในสหรัฐฯ และอินเดีย คาดว่าแพร่กระจายตัวผ่านทางอีเมล Phishing หลังจากที่มัลแวร์ดังกล่าวถูกติดตั้งลงบนเครื่องแล้ว มันจะทำการเขียนทับ Master Boot Record (MBR) ด้วยโค้ดเฉพาะของมัน จากนั้นก็ทำการเข้ารหัสฮาร์ดดิสก์ทั้งลูก

    “Mamba เข้ารหัสพาทิชันทั้งหมดของฮาร์ดดิสก์ มันใช้การเข้ารหัสข้อมูลระดับฮาร์ดดิสก์ ซึ่งต่างจากวิธีการดั้งเดิมของ Ransomware ที่เข้ารหัสไฟล์ข้อมูลทีละไฟล์” — Marinho อธิบาย

    HDDCryptor เป็น Ransomware บนระบบปฏิบัติการ Windows ซึ่งขัดขวางไม่ให้ผู้ใช้สามารถเข้าถึงระบบปฏิบัติการได้ถ้าไม่มีรหัสผ่าน หรือก็คือกุญแจที่ใช้ปลดรหัสฮาร์ดดิสก์นั่นเอง ซึ่งเหยื่อจะถูกเรียกร้องให้จ่ายค่าไถ่เป็นจำนวนเงิน 1 Bitcoin แลกกับกุญแจรหัสผ่านสำหรับเข้าถึงระบบปฏิบัติการ

    จากการตรวจสอบ Bitcoin Address ของแฮ็คเกอร์ พบว่าจนถึงตอนนี้มีผู้ที่ยินยอมจ่ายค่าไถ่ไปแล้วไม่ต่ำกว่า 4 ราย

    เครดิตเนื้อหาและภาพจาก https://www.techtalkthai.com/hddcryptor-ransomware-encrypts-hard-drives/

  • 24
    08

    ผวา! แฮกเกอร์สุดแสบ ขโมยเงินธนาคารใน 25 ประเทศ กว่า 3 หมื่นล้าน

    เผยรายงานใหม่... เหล่าอาชญากรในโลกไซเบอร์ โจมตีระบบคอมพิวเตอร์ของธนาคารกว่า 100 แห่งใน 25 ประเทศ ทั่วโลก ขโมยเงินมหาศาลจากธนาคาร ไปได้กว่า 3.2 หมื่นล้านบาท ชี้แฮกเกอร์เหล่านี้มีทั้งชาวรัสเซีย, ยูเครน, จีน และยุโรป

    สำนักข่าวต่างประเทศรายงานอ้างข้อมูลของบริษัทความปลอดภัยด้านอินเทอร์เน็ต ‘คาสเปอร์สกี้ แล็บ’ (Kaspersky Lab) ซึ่งได้เสนอรายงานใหม่เมื่อวันอาทิตย์ที่ 15 ก.พ. ว่า มีเหล่าแฮกเกอร์ได้เข้าโจมตีระบบข้อมูลคอมพิวเตอร์ของธนาคารในต่างประเทศ รวมทั้งในสหรัฐฯ จนสามารถขโมยเงินในบัญชีธนาคารของลูกค้าไปได้มากกว่า 1,000 ล้านดอลลาร์ หรือร่วม 32,000 ล้านบาท

    บริษัท คาสเปอร์สกี้ แล็บ ชี้ว่า มีธนาคารมากกว่า 100 แห่งที่ถูกแฮกเกอร์ เข้ามาขโมยเงินจากบัญชี โดยธนาคารแต่ละแห่ง จะโดนขโมยเงินมากน้อยแตกต่างกันไป เฉลียแล้วประมาณธนาคารละ 2.5 ล้านดอลลาร์ ไปจนถึง 10 ล้านดอลลาร์ ซึ่งรวมแล้วทำให้ต้องสูญเสียเงินให้กับแฮกเกอร์ไปมหาศาลถึง 1,000 ล้านดอลลาร์ จนต้องถือเป็นความสำเร็จของเหล่าอาญชากรในโลกไซเบอร์เท่าที่บริษัทเคยเห็นมาเลยทีเดียว

    ขณะเดียวกัน ตามรายงานของ บริษัทความปลอดภัยด้านอินเทอร์เน็ตยังชี้ว่า แฮกเกอร์ที่เข้ามาขโมยเงินในธนาคารต่างชาติ มีทั้งชาวรัสเซีย, ชาวยูเครน, ชาวจีนและชาวยุโรป ขณะที่มีธนาคารในต่างประเทศ ถึง 25 ประเทศ รวมทั้งสหรัฐฯ ที่โดนแฮกเกอร์เข้ามาขโมยเงินไป เพียงแต่ไม่ได้มีการเปิดเผยชื่อธนาคารที่โดนแฮกให้สาธารณะชนได้รับทราบ

    คาสเปอร์สกาย แล็บ รายงานด้วยว่า แฮกเกอร์ได้ใช้โปรแกรม มัลแวร์ ที่เรียกว่า ‘คาร์บาแน็ก’ ในการโจมตีระบบข้อมูลคอมพิวเตอร์ทำให้เสียหาย ซึ่งหลังจากโจมตีระบบคอมพิวเตอร์แล้ว แฮกเกอร์จะซุ่มอยู่ประมาณ 2-4 เดือน ก่อนจะลงมือโจมตีหลายช่องทาง ไม่ว่าจะเป็น การเปลี่ยนบัญชี และโอนเงินเข้าบัญชีของพวกตน รวมทั้งถอนเงินสดจากตู้เอทีเอ็ม โดยให้สมาชิกในแก๊งไปคอยยืนอยู่ด้านข้างตู้เอทีเอ็มเพื่อเก็บเงิน

    นอกจากนั้น โปรแกรมมัลแวร์ คาร์บาแน็กนี้ ยังสามารถทำให้บรรดาแฮกเกอร์สามารถดูพนักงานธนาคารทำธุรกรรมทางการเงินให้แก่ลูกค้าได้อย่างละเอียด ‘มัลแวร์นี้ทำให้พวกเขาเห็นและบันทึกทุกสิ่งทุกอย่างที่เกิดขึ้นบนหน้าจอคอมพิวเตอร์ของพนักงานธนาคารในระบบโอนเงิน’ คาสเปอร์สกี้แล็บ รายงาน
    เครดิตข่าวจากไทยรัฐออนไลน์

1 2 3 4 5 6 7 8 9